하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

‘드루킹’으로 이슈된 매크로, 두루두루 악용... 이대로 괜찮나
등록일 :
2018.04.19
글자 인식 기반의 캡차 우회 등 매크로 탐지 피할 수 있어...기술적 해결 어려워
매크로, 누가 사용하느냐에 따라 달라지는 양날의 검...분야별·사안별로 합의 필요


[보안뉴스 김경애 기자] ‘드루킹’ 댓글 조작 사건 이슈로 매크로 프로그램에 대해서도 이목이 집중되고 있다. 매크로 프로그램이 여러 분야에서 오남용되고 있기 때문이다. 이에 매크로 악용을 방지할 수 있는 대책이 필요하다는 의견이 제기되고 있다.

[이미지=iclickart]


매크로 프로그램은 여러 개의 명령어를 묶어서 하나의 키 입력 동작으로 여러 번 해야 하는 일을 자동화로 간단하게 처리할 수 있는 방식을 말한다. 잘 활용하면 유용하지만 특정 목적이나 이득을 위해 악용하는 사례도 비일비재하다.

한 보안전문가는 “이번 드루킹 사건으로 매크로 프로그램이 주목받게 됐만 사실 오래전부터 악용돼 왔다”며 “콘서트와 같은 공연 예약, 숙박 예약, 수강신청, 스팸메일 발송 등 다양하게 악용되고 있다”고 밝혔다. 특히, 이용자 요구에 따라 특정 목적으로 주문제작돼 불법으로 만들어지는 경우도 상당수로 알려졌다. 즉, 필요에 따라 맞춤형 매크로 프로그램이 널리 악용되고 있다는 얘기다.

이러한 매크로 프로그램 판매 광고는 인터넷 중고판매 사이트나 블로그 등에서 손쉽게 찾아 볼 수 있다. 실제 본지가 확인한 결과, 한 중고 사이트에서는 1만원에 매크로 프로그램을 판매하고 있었다. 이에 대해 보안업계의 관계자는 “매크로 프로그램은 활용 용도에 따라 저렴하게는 20~30만원, 비싸게는 200~300만원 상당으로 판매되고 있다”고 밝혔다.

또한, 암묵적으로 용인하는 사례도 있다. 바로 게임 분야다. 게임 분야의 경우 매크로를 사용해 아이템을 획득하고, 게임 캐릭터의 힘을 키울 수 있기 때문에 게임 유저에게는 매크로 사용이 당연하게 인식되기도 한다.

게임과 관련해 한 블로거는 “매크로 유저들은 게임머니 벌이도 쉬워 일반 유저와 비교가 안 될 정도로 액수가 커진다”며 “매크로를 사용하면 유료로 판매하는 게임 아이템이 필요없다”고 밝혔다.

물론 게임업계에서도 매크로 프로그램을 부정 사용으로 취급해 계정을 차단하거나 정지하는 조치를 취하기도 한다. 하지만 일부 게임에서는 너도나도 사용하고 있어 암묵적으로 용인하는 경우도 있다.

이처럼 매크로 프로그램이 악의적으로 활용되면서 이에 대한 제재가 필요하다는 의견이 나오고 있다. 하지만 기술은 나날이 발전하고 있어 기술적 해결은 쉽지 않다는 지적이다.

카이스트(KAIST) 김용대 교수는 “보안을 연구할 때 퍼징 테스트에서 랜덤하게 이벤트를 생성하는 것도 매크로다. 결국 기술을 누가 사용하느냐에 따라 달라지는 양날의 검”이라며 “기술의 발전으로 앞으로는 사람인지 매크로 프로그램인지 더욱 구분이 쉽지 않기 때문에 기술적 해결이 쉽지 않다”고 지목했다.

익명의 보안전문가 역시 “이러한 매크로 프로그램의 경우에는 캡차 인증과 같이 사람과 컴퓨터를 구분할 수 있는 방법을 통해 1차적으로 막을 순 있지만 최근 글자 인식 기반의 캡차를 우회할 수 있는 등 매크로 탐지 우회 방법이 나오고 있어 문제 해결이 쉽지 않아”며 “악의적으로 사용되지 않도록 이용자의 인식 개선 교육이 필요하다”고 말했다.

정훈 보안연구소의 유정훈 대표는 “매크로 형태의 동작 방식은 공격자나 점검자 입장에서 다양하게 사용될 수 있다”며 “예를 들어 GUI 테스트 자동화 도구인 SikuliX 툴(스크립트 지원)과 같은 도구가 공개돼 있고 다크넷과 같은 곳에서는 다양한 유료 공격 툴이 판매되고 있어 향후에도 모방 형태의 다양한 매크로 공격이 일어날 것으로 우려된다. 이 때문에 현재 매크로 형태의 기술을 막기란 쉽지 않다. 다만 이종 간 보안장비를 통해 실시간 모니터링 체계를 구축하는 것이 필요하다”고 말했다.

서울여자대학교 김명주 교수는 “C언어와 같은 프로그래밍 언어에도 매크로 기능이 있고, MS 오피스 프로그램 내에도 존재한다”며 “공연 입장권을 획득하기 위해 접속과정을 매크로로 만들면 티켓 획득 시간을 대폭 줄일 수 있고, 주식거래에 있어서도 퀀트 등 시스템 거래, 로봇 어드바이저와 같은 AI 기반 거래는 내부적으로 매크로 형식 기능이 포함돼 동작한다”고 설명했다. 이는 매크로 프로그램이 악용된다고 해서 매크로 사용을 완전히 금지시킬 수도 없다는 얘기다.

그러면서 김명주 교수는 “지능정보사회가 진전됨에 따라 기술적 편차의 불평등은 더욱 심화될 것”이라며 “사회적 영역에 따라 비전문적인 이용자들을 보호하는 차원에서 사례별로 합의하거나 제한하는 등의 사회적 논의가 필요하다”고 설명했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top